Hender det at du skriver notater eller stikkord på Post-it-lapper fra samtaler med andre på jobben? Da bør du være bevisst, for hvis disse notatene blir liggende på skrivebordet eller hengende på veggen, kan det være brudd på personvernreglene i GDPR. En dansk kommune unngikk bot fordi de makulerte lapper etter kort tid.
Datatilsynene i Norden samarbeider
Datatilsynene i Norden har avtalt et tett samarbeid etter at EUs personvernforordning (GDPR) ble innført. En viktig del av denne avtalen - også kalt København-erklæringen - er erfaringsutveksling. Det innebærer at de regelmessig skal dele informasjon om:
- Praktisering av regelverket
- Saker som behandles
- Bøter som blir gitt
Et slikt samarbeid vil trolig bety at saker behandlet i ett av landene, kan gi veiledning om praksis i de andre landene. Hvilket betyr at behandlingen i det danske datatilsynet av en klage mot en kommune, kan gi en pekepinn på hva som blir praksis ved liknende tilfeller i Norge.
GDPR gjelder personopplysninger på Post-it-lapper også
Klagen mot den danske kommunen kom fra en person som hadde hatt samtaler med en av kommunens medarbeidere. Klageren registrerte at den ansatte gjorde notater fra samtalene på Post-it-lapper. På lappene ble det notert personopplysninger som personnummer, navn, bydel og opplysninger om ledighetsperiode. Disse opplysningene ble ifølge klageren liggende synlig på arbeidsplassen slik at uvedkommende kunne se dem. Dessuten skal klageren ha observert at de ble kastet i papirkurven etterpå og derfra gikk i vanlig søppelbeholder.
Datatilsynet slår på generelt grunnlag fast at opplysninger på klistrelapper, som de nevnte, faller inn under bestemmelsene i GDPR.
I selve kjennelsen la imidlertid datatilsynet til grunn at notatene på lappene var til midlertidig bruk før informasjonen ble lagt inn digitalt. I følge kommunen var de ikke tilgjengelige for andre. Før de ble lagret digitalt var de innlåst i skap og etterpå ble de lagt i en låst beholder og sendt til makulering. Dette godtok tilsynet, og bot ble ikke ilagt.
Makulering hindret bot
Selv om det ikke ble bot denne gangen, kan redegjørelsen fra datatilsynet tolkes som at bot kunne blitt ilagt dersom innholdet på klistrelappene kunne ses av uvedkommende, blant annet som en følge av at de ikke ble makulert.
Hvordan er det hos dere? Ta en rask kikk på disse punktene:
- Hender det at lapper og dokumenter med sensitive opplysninger blir liggende på skrivebordet når du ikke er til stede?
- Har dere fortsatt papirkurver hvor det kastes dokumenter? Skilles det i tilfelle mellom sensitive og andre opplysninger?
- Har dere rutiner for å låse PC’en når arbeidsplassen forlates?
- Kopimaskinen, printere og møterom: Blir dokumenter ofte gjenglemt?
Svikter det på ett eller flere av ovennevnte punkter, er det ikke utenkelig at det kan medføre bøter hvis Datatilsynet kommer på besøk. Men, det er i så fall mulig å gjøre noe med det. Før de kommer.
Sikker makulering av sensitiv informasjon
Norsk Makulering tilbyr låste beholdere hvor alle medarbeidere kan kaste papirdokumenter – inkludert Post-it-lapper, selvfølgelig. Når beholderne er fulle blir de hentet av sikkerhetsgodkjent personell i låste biler som frakter dem til et videoovervåket makuleringsanlegg, som også er låst. Her blir dokumentene kvernet slik at innholdet ikke kan gjenskapes. Det er en sikker og enkel måte å unngå GDPR-bøter på!